Rechnungs-eMail von der Telekom? Sehr verdächtig, vor allem, wenn man bei der Telekom gar kein Kunde ist...
Das ist die Mail:
To: empfaenger-hat-eine-phish-allergie@gmx.de
From: Telekom Deutschland GmbH {NoReply} <m.cinar@cinergroup.com.tr>
Subject: RechnungOnline Monat Mai 2014 (Buchungskonto: 1666370235)
Ihre Rechnung für Mai 2014
Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung.
Die Gesamtsumme im Monat Mai 2014 beträgt: 345,99 Euro.
Wir bitten Sie, die Rechnung zu begleichen.
Details zur Ihre Rechnung können Sie hier ansehen:
2014_06rechnung_3547346941_sign.zip.
<link>httq://removebadplants.com/pdf_mail/online_kundencentertelekom</link>
Diese E-Mail wurde automatisch erzeugt.
Bitte antworten Sie nicht dieser Absenderadresse.
Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.
Telekom Deutschland
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 22361393531
WEEE-Reg.-Nr.: 11653575432
Erster Eindruck
Die Email sieht sehr gepflegt aus und ist im guten deutsch geschrieben. Fast alle Links zeigen auf Inhalte der Telekom, man kommt also leicht zu dem Glauben, die Zahlungsaufforderung sei ernst gemeint.
Dennoch haben sich einige Rechtschreibfehler eingeschlichen:
- "Wir bitten Sie, die Rechnung zu begleichen." soweit ich weiss gehört dort kein Komma hin.
- "Details zur Ihre Rechnung..." zu Ihre_r_ Rechnung...
- "USt-Id.Nr.: DE 22361393531" Was soll das denn sein? Die USt-Id. der Telekom ist laut
telekom.deDE 122265872.
Internet-Check
Sucht man im Internet nach prägnanten Schnipseln, wie "Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.", erfährt man, dass viele andere eine solche Spam-Mail auch erhalten haben.
Email-Details
Wie erkenn man hier eine Spam Mail? Schauen wir uns mal den Email-Kopf an:
Return-Path: Telekom@mail.cinergroup.com.tr
Sollte die Empfänger-Adresse mal ungültig sein, soll hier eine Status-Email an
mail.cinergroup.com.tr gesendet werden. Das ist eine Adresse eines Servers in der
Türkei!
Wo kommen die Mails überhaupt her?
Received: from mx1.solfix.net ([92.45.8.74]) by mx-ha.gmx.net (mxgmx111) ...
Received: from mail.cinergroup.com.tr (mail.parksigorta.com [213.74.21.81])
by mx1.solfix.net (Postfix) ...
Received: from xn--kruterwirt-pc-j1a (unknown [80.121.220.194])
by mail.cinergroup.com.tr (Postfix) ...
Aha, xn--kruterwirt-pc-j1a? Ein Spassvogel also... Nachverfolgung der IP ist zwecklos,
denn im Zeitalter knapper IP4-Adressen könnte inzwischen jeder diese Adresse
zweimal erhalten haben... Entsprechend verläuft auch ein traceroute im Sande.
From: Telekom Deutschland GmbH {NoReply} <m.cinar@cinergroup.com.tr>
Natürlich. Wer hier antwortet, macht dem Absender klar, dass man eine funktionierende Email-Adresse besitzt... lieber nicht antworten.
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
Wie üblich, werden alle hoch priorisierten Emails grundsätzlich als Spam betrachtet.
Es gibt nichts Wichtiges an Emails, das den Status verdient hätte. Nie. Genau genommen
ist diese Funktion nur sinnvoll für Firmen und Netzwerke,
in denen man sich auf eine Eskalation oder Dringlichkeit committed hat.
Das trifft auf das persönliche Leben selten zu.
Warum werden eigentlich nie Emails mit "geringer Priorität" gesendet?
OK, was hat es sich mit dem Body der Email auf sich?
Die Email ist HTML-formatiert. Bilder und Kontakt-Links zeigen auf Originaladressen der Telekom...
httqs://www.rechnung-online.telekom.de/mail//2014/04/21/images/pixel.gif
httq://www.telekom.de/mail/reo/b-21-telekom-00
Link zum Download
Die Einzige andere Adresse ist beim Download der vermeintlichen Rechnung zu finden:
httq://removebadplants.com/pdf_mail/online_kundencentertelekom
Aha, wer genau hinschaut sieht im Detail, dass keine zip Datei geladen wird, sondern
eine Webseite... Im gesicherten Modus versuche ich mal die Adresse aufzurufen...
The requested URL /pdf_mail/online_kundencentertelekom was not found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at removebadplants.com Port 80
Oha! Seite nicht gefunden...
Auch andere Seiten, mit dem Pfad pdf_mail/online_kundencentertelekom, gesucht
mit Google, zeigen ein ähnliches Ergebnis.
Nach einigem Suchen habe ich dann doch ein Stück vom toten Phisch gefunden. Das
Script hinter dem Link bietet einen Download an. Das ist echt geschickt...
aus dem Mail würde vermutlich ein Webbrowser gestartet und der Download angeboten. Mit
den Begriffen wie Rechnung etc. klingt das recht echt.
Der Versuch diese Datei herunterzuladen endet im Chrome mit einer Warnung vor Malware. Sehr gut Chrome! Firefox 29.0.1 ist da weniger zimperlich... zu meinem Leid.
Aber gut, die Datei ist nun in der Sandbox, mal sehen was drin wäre.
> unzip -l 2014_06rechnung_982874620200_sign.zip
Archive: 2014_06rechnung_982874620200_sign.zip
Length Date Time Name
-------- ---- ---- ----
88576 06-02-14 20:10 2014_06rechnung_982874620200_sign_telekom_deutschland_gmbh.exe
-------- -------
88576 1 file
Es ist wie Weihnachten diese zip Pakete zu öffnen:
> unzip 2014_06rechnung_982874620200_sign.zip
OK, was ist denn wirklich drin?
> less 2014_06rechnung_982874620200_sign_telekom_deutschland_gmbh.exe
...
Oh weh, dieser Maschinen-Kauderwelsch wieder... aber irgendwann finden sich einige Pfade, die erwähnenswert sind:
C:\ppGKjew
C:\yMnixu\GiwUfhIzBoE\IqcoJnhok.nhv
c:\hsmd
c:\kporaadcyE\wzlntvifswk\jfzegj.plp
c:\JYtsrze\knsylslM\iehuAsvr\fbdqavb\lXjvqhjlgi.orv
C:\Fulb.vba
C:\eksfD\jkywue.xip
Eine weitere Recherche von IqcoJnhok.nhv zeigt, dass
malwr.com
tatsächlich einen Fiesling gefunden hat... und das bebildert und in Farbe!
Ganz besonders interessant ist die Verhaltensanalyse und die Tatsache, dass bei der Rechnung ein Programm Namens GrooveMonitor.exe zur Ausführung kommt... Monitor? Das kommt mir mehr als suspekt vor...
Was sagt denn das FileInfo der ausführbaren exe Datei?
LegalCopyright Copyright Pwlfi
InternalName Gpwex
FileVersion 16.7.679.49994
CompanyName Pwlfi
ProductName Gpwex
ProductVersion 16.7.679.49994
FileDescription Gpwex Moolvr Keqccxe
OriginalFilename Gpwex.exe
Aha! Hersteller ist nicht die Telekom, sondern irgendjemand mit kryptischen oder verschleiertem (obfuskierten) Namen.
Fazit
Für mich ist die Situation klar: Phishing-Mail.